中山大学法学院国际法专业硕士研究生

要目

二、数据本地化措施的合规性存疑

三、以三大基本原则观数据本地化问题

四、中国对数据本地化的规制进路

中国特色国际经济法学基本原则基于国际社会普遍接受的国际经济法律规范而产生，对于建立国际经济新秩序具有重要意义，其能够且必要用以探究数据本地化问题。当前，数据本地化的合规性存疑，将WTO原有的条约规则适用于数据本地化问题具有法律障碍，区域下的规则对于数据本地化问题也呈现了不同的规定。对于数据本地化问题的不同立场体现了对于国际经济法三大基本原则的不同理解。各国对于数据本地化的不同立场，在经济主权原则方面，体现了“相互依赖的主权”观念与传统的主权观之间的冲突；在公平互利原则方面，体现了主权国家对于“公平”或“平等”的不同追求；在合作发展原则方面，则体现了对于发展中国家的不同态度。我国应当坚持以中国特色国际经济法学基本原则为指导，实行符合国际法的数据本地化规制。

G20峰会提出：“数字经济是全球经济增长日益重要的驱动力。”随着数字经济的发展，数据安全、信息保护等议题进入了国际视野，一些国家基于国家安全、隐私保护等考虑，出台了数据本地化的措施。但严苛的数据本地化措施与贸易自由存在矛盾，因此在国际法层面，各国通过在WTO框架下进行电子商务诸边谈判、缔结区域贸易协定等方式，对于数据本地化措施进行规制。在规制过程中，各国对于数据本地化问题呈现出不同的立场，数据本地化规制的国际法规则也存在一定差异。本文试图通过中国特色国际经济法学的基本原则，对于数据本地化问题进行检视，并提出规制数据本地化的中国方案。

一、数据本地化探究应以中国特色国际经济法学基本原则为指导

数据本地化的定义

对于数据本地化的定义，学界尚未有统一的认识。有学者主张其包括计算设施和数据存储的本地化要求。也有学者在此基础上，将数据处理的本地化也纳入其中。2015年的美国商业圆桌会议认为“本地数据存储”措施既包括要求将指定的数据存储在本地服务器上来限制数据流动，也包括需要特定的申请或协助才能在国内运行和处理数据。

在区域性的国际条约中，也并未达成关于数据本地化范畴的一致意见。区域全面经济伙伴关系协定（以下称RCEP）、全面与进步跨太平洋伙伴关系协定（以下称CPTPP）等在电子商务章中对于“计算设施的位置”进行了专条规定。其中，计算设施指用于商业用途的信息处理或存储的计算机服务器和存储设备。由此可见，区域性条约中的“计算设施的位置”条款主要规制商业数据的存储和处理，应属于数据本地化规制的范畴。

鉴于现有的讨论大多提及了数据存储和处理的本地化问题，因此本文对数据本地化的探讨也集中于数据本地存储和处理方面，以期对于数据本地化的现有问题予以回应。

中国特色国际经济法学基本原则的重要价值

中国特色国际经济法学基本原则，是基于联合国宪章和国际社会普遍接受的调整国际经济关系的法律规范，提炼和论证的旨在建立国际经济新秩序的国际经济法三大基本原则，包括经济主权原则、公平互利原则和合作发展原则。

中国特色国际经济法学基本原则能够且必要用以探究数据本地化问题。数据问题关乎国家安全、公共利益与个人隐私保护，因此各国出台了要求数据本地化的系列措施。但在国际法层面，为倡导贸易便利与自由，已经缔结的区域性条约都趋向于对数据本地化加以限制。在WTO的多边体系之下，电子商务诸边谈判正在进行之中，各国的提案也体现出了对于数据本地化问题的不同态度。在国内法与国际法对于数据本地化的不同面向以及未能达成普遍适用规则的情况之下，可以通过研究国际经济法的原则提出差异和冲突的解决办法，为各国提供共同的参照框架，使对立的双方可以在相同的语境中用相同的术语进行交流。又因中国特色国际经济法学对于国际经济法的基本原则作出了以“发展中大国”为视角的分析，其能够为数据本地化规制贡献具有中国特色的解决方案。另外，数据本地化问题的探讨关涉国家主权问题，涉及传统的主权观与淡化主权观念之间的冲突。因此，以中国特色国际经济法学基本原则中的经济主权原则观数据本地化问题具有必要性，以之为引导有助于在数据领域的主权问题上坚守住中国立场。

二、数据本地化措施的合规性存疑

数据本地化措施是数据跨境自由流动规制中最严苛的表现形式，各国主要出于国家安全、公共利益和个人隐私保护的考量，采取数据本地化的措施。据美国信息技术创新基金2017年4月统计，除非洲外，绝大多数国家均已实施了不同程度的数据本地化措施。当前，数据本地化的核心问题就在于其合规性与合理性均需要考量。在国际条约的视野下，将WTO多边条约直接用以规制数据本地化缺乏充分的解释与论证，区域协定中对于数据本地化问题也未有普适性的规定。对于数据本地化的合理性，各国也存在不同的主张。

多边视角下的数据本地化规制

在多边层面，数据本地化的规制可以寻求于WTO原有的条约规则。数据本地化与WTO的关税与贸易总协定、服务贸易总协定、与贸易有关的知识产权协定、技术性贸易壁垒协议等都存在一定程度的关联，但对于数据应定性为货物还是服务仍存在争议，因此，数据本地化问题直接适用关税与贸易总协定和服务贸易总协定规制存在障碍。即便适用WTO原有规则的可能性存疑，学界还是对于数据本地化问题在WTO规则下的合规性进行了探讨，其关键在于数据本地化措施是否违背WTO的国民待遇原则。在贸易层面，是否违反服务贸易总协定中的国民待遇原则，需要通过服务贸易总协定第14条一般例外和第17条成员方具体承诺的检验；在投资层面，则应考虑国际投资法上的相似情形、不低于待遇和例外。因此，数据本地化措施的WTO合规性不可一概而论，而需要在个案中加以权衡。但有学者指出，中国网络安全法中的相关规定并不与中国在服务贸易总协定中做出的关于市场准入和国民待遇的承诺相违背。

原有的WTO条约对于数据本地化规制未能提供直接的法律支撑，而与数据本地化规制有关的国际法律规则仍在谈判之中。在WTO的电子商务诸边谈判中，各国对于数据本地化措施的态度和立场也存在不同。美国在电子商务诸边谈判中坚持反对数据本地化措施的立场，其在提案第2.1条中提出了禁止数据本地化的要求，且没有规定禁止数据本地化的例外情形，只针对金融业的数据存储进行了特别规定。欧盟也提出了对数据本地化措施的反对意见，但同时提议规定“采取自认为合适的规定确保个人数据或隐私不受侵犯”的例外情形。我国未对数据本地化措施表明态度，但对于跨境数据流动中的安全问题较为重视。在对重要问题无法达成普遍共识的情况之下，各方逐渐转向在区域下缔结规则，对于跨境数据流动和数据本地化问题予以规制。

区域视角下的数据本地化规制

在区域视角下，对于数据本地化的规制主要体现在欧盟的一般数据保护条例（以下称GDPR）、非个人数据自由流动条例（以下称RFFND）以及美国-墨西哥-加拿大协定（以下称USMCA）、CPTPP、RCEP等区域贸易协定的“数字贸易”或“电子商务”章的“计算设施的位置”等条款中，但具体的条款设置存在一定的差异。

欧盟对于数据本地化的规制在个人数据与非个人数据领域有所不同，其在原则上禁止以非个人数据本地化作为商业行为的条件，但也设置了公共安全例外条款。欧盟主要在GDPR中对于个人数据加以保护，但GDPR并未对数据本地化提出明确的要求，而是禁止将境内个人数据传输至保护充分性不足、无适当安全维护措施、亦不符合特定例外情况的第三国，并设置了严格的充分性认定和保障机制，使得数据出境面临巨大的合规成本，在实质上受到限制。而关于非个人数据的保护主要见于RFFND中，RFFND对于非个人数据的自由流动情形下的数据本地化作出了明确禁止，除非根据欧盟法律，也即根据欧洲联盟运行条约（TFEU）第52条以公共安全为由提出正当理由，并符合欧洲联盟条约（TEU）第5条的相称性原则才可进行本地化，也即本地化的内容和形式不得超出实现条约目标所必需的范围。

CPTPP对于数据本地化的规制采取原则+例外的方式，但其例外规定与欧盟的“公共安全”有所不同，而体现为“合法的公共政策目标”例外。并且，CPTPP在条款中增加了有关缔约方认识的规定，为缔约方为寻求通信安全和机密性实施监管提供了合法性依据。

与其他区域贸易协定不同，USMCA对于数据本地化措施采取强烈反对的立场，其在数字贸易一章中严格禁止本地化措施作为商业行为的条件，且没有规定任何的例外情形。这其中存在地缘政治的因素，体现了美国对于全面禁止数据本地化、推行数据自由贸易的立场。

RCEP对于数据本地化也采取原则+例外的方式进行规定，但是其规定体现了对于发展中国家的充分保护。RCEP原则上禁止以数据本地化作为商业行为的条件，但规定了“合法公共政策目标”和“基本安全利益”两项例外，并且，RCEP中的数据本地化条款对于柬埔寨、老挝人民民主共和国、缅甸、越南作出了例外规定，在一定的时间段内不得要求这些国家适用。另外，在各个区域贸易协定中，对于公共政策目标的例外几乎都规定了不得超出实现目标所需限度的限制，但是在RCEP中，这一限度替换成了“必要”的表述，然而该措施的必要性是由实施政策的缔约方决定的。

总的来看，区域视角下的数据本地化规制条款也存在许多差异。USMCA严格禁止以数据本地化作为商业行为的条件，但欧盟和其他区域贸易协定作出了例外规定。在例外规定中，各区域对基于安全的例外和基于公共政策目标的例外各有侧重，且对于“合法公共政策目标”以及“安全”的含义等问题，仍存在一定的法律解释空缺，为各国国内数据规则的构建和数据本地化合规性留下了待解的问题。但区域贸易协定的数据本地化条款充分体现了区域内大国的鲜明特点：欧盟注重对于个人信息的保护；美国提倡信息自由，注重数据流动带来的贸易利益；中国更倾向于考虑发展中国家的需要，为各国的国家安全和公共政策给予了一定的空间。

三、以三大基本原则观数据本地化问题

数据本地化问题的争议，体现了对于国际经济法三大基本原则的不同理解。

经济主权原则下的数据本地化问题

经济主权原则是国家主权原则在经济领域的体现。在数据领域，各国对于“信息主权”“网络主权”“数据主权”的主张与经济主权原则密切相关。

数据的空间特性是数据主权观念碰撞的重要原因。传统的主权具有一定的领域性，国家在其领域范围内行使主权，而互联网空间具有无形化的特点，难以按照传统的划界方式确定数据的领域边界，因而国际社会中出现了要在数据领域实行“去领土化的主权”呼声，主张数据领域打破了传统的威斯特伐利亚主权观念，而存在着“相互依赖的主权”。

要求绝对禁止数据本地化，倡导完全自由的数据流动，即体现了“相互依赖的主权”观念。这一种观念，在USMCA对于数据本地化完全禁止、不留例外的规定中可见一斑，在美国商界对于数据本地化的批评中体现尤甚。美国2015年的商业圆桌会议对于数据本地化问题进行了探讨，将数据本地化视为“数字贸易壁垒”的一种形式，其认为数据本地化措施不仅会阻碍跨国公司的数据传输，对本国商人的利益造成影响，长期来看对于市场所在国在其业务领域内获得长期的就业和投资、获取商品和服务也存在不利，最终会侵蚀发展中国家的利润率。基于这种经济上的相互依赖，美国极力主张数据的跨境自由流动，要求严格禁止数据本地化措施。

但值得注意的是，即便经济上的相互依赖是全球化情境下的事实，美国主张数据自由流动，本质上依然是维护其本国在全球贸易中的主导地位。美国在WTO电子商务诸边谈判中倡导自由，并在区域贸易协定下极力反对数据本地化，但其已经通过《国家信息基础设施保护法案》《2013年国家网络安全和关键基础设施保护法案》等，强化对其基础信息系统建设、维护、防范等方面的监管。美国并非没有为数据本地化留下空间，相反，美国的出口管理条例、国际武器贸易条例也对于部分信息出境作出了未经政府批准不得向外国公民或实体披露的规定。即便是在“相互依赖的主权”概念最为适用的“逻辑层”，美国依然将涉及网络安全的域名系统的控制权掌握在政府手中。域名治理虽然以私有化的名义进行，但是私人公司由美国政府授权，并需要向美国政府报告工作，且美国拒绝将本土的域名服务器交由世界共同治理。在对本国数据取得实际控制以外，美国还将数据自由流动与其长臂管辖权联系在一起，强化对境外数据的管制，实现跨地域的全球监控。因此，美国是在国内法以及商业实践中做好了数据存储和处理的充足准备后，面向世界推行自由化的数据流动，在相互依赖的语境之下，美国自身的主权并未被淡化，而是利用国际平台积极扩张其经济上的霸权。

公平互利原则下的数据本地化问题

数据本地化问题的争议也体现了对于公平互利原则的不同理解。要求严格禁止数据本地化的主张，其更倾向于要求“平等”互利，而非“公平”互利；重视形式上的公平，而非实质意义上的公平。在数据基础设施建设领域，应当看到一些发达国家已经具备巨大的先发优势，但是很多发展中成员在关键信息基础设施防护、物联网安全等方面存在严重不足。不仅如此，发展中国家在经济实力、贸易条件、制度建设方面也与发达国家存在差距。如果直接进行完全自由的数据流动，对于数据本地化不留例外地禁止，发展中国家在数字贸易领域很难建立优势，与发达国家真正公平地竞争。由此观之，RCEP对于发展中国家做出的例外规定，并非是为了坚持数据本地化以获取绝对的经济优势，而是充分考虑到了发展中国家的国家安全和经济现状，给予其一定的时间搭建数据流动基础设施，发展数据产业，体现了我国以及其他缔约方公平互利的价值追求。

合作发展原则下的数据本地化问题

在数据本地化问题上，各国之间的法律冲突也体现了在合作发展原则方面的不同价值取向。合作发展原则集中体现在对于发展中国家的“特殊与差别待遇”方面。RCEP中对于部分发展中国家设置了更为宽松的数据本地化限制便是“特殊与差别待遇”的体现。而在其他区域贸易协定中间，并未见到此种规则设置，而要求发展中国家承担与发达国家相同的义务。不仅如此，发达国家的法律之间也存在潜在的冲突，如美国的美国出台的CLOUD法案与欧盟GDPR的数据共享限制条款。足以构成贸易壁垒的数据本地化规则不仅违背合作发展原则，对于本国的贸易发展也存在不利。

总之，一国在数据本地化规制中采取的立场，实际上体现了其在坚持数据主权和淡化数据主权之间、追求公平互利和追求平等互利之间、寻求合作发展和强调本国利益之间的取舍与平衡。

四、中国对数据本地化的规制进路

在数据本地化的规制问题上，中国应当保持自身“发展中大国”的立场，积极建立数据主权，坚持公平互利，寻求合作发展，在国家安全、公共利益、个人隐私保护和贸易自由等价值方面取得合理平衡，走出具有中国特色的规制道路。

积极建立数据主权，维护国家安全

我国应当充分理解经济主权原则的内涵，处理好“自由化”“全球化”之中的问题。面对数据本地化的规制问题，需要认识到，“相互依赖的主权”只是一种主张，但其并不是现状，也不是大势所趋。目前，世界各国已经对于网络空间享有主权达成了一定程度的共识。即使是在突破传统边界认知的互联网领域，各国依然在积极建立和行使数据主权。GATT下的安全例外条款，以及区域贸易协定中的公共政策目标和基本安全利益条款的设计，都在一定程度上体现了国际社会对于国家在数据领域行使主权的承认。并且，国家对于数据的实际支配能力是存在的。美国的本地化存储实践、欧盟一般数据保护条例的严格规定以及我国对于关键信息存储设置的规定都体现了这种法律上的控制；TikTok向美国交纳的罚款以及苹果公司将iCLOUD数据交由云上贵州运营也正是这种法律上的控制在事实层面的体现。

因此，我国应当把握世界数字贸易发展大势，积极建立数据主权，并加以充分论证，在此基础之上对于数据本地化问题进行合乎法律的规制。在国际法层面，我国应当遵守条约和国际习惯法的规定。针对国际法与国内法的协调问题，有学者认为，我国法律中存在数据本地化的规定，除非修改这些规定，否则我国在谈判中对于禁止本地化承诺存在国内法障碍。但是，目前国际法上的条约实践仅仅规定了“禁止以数据本地化作为商业行为的条件”，这与“绝对禁止数据本地化”并不能够等同。出于国家安全、公共利益、个人隐私保护考量的数据本地化并不违背条约的规定，也与经济主权原则相符合。在国内法层面，我国的数据安全法（草案）并未规定绝对的数据本地化。根据第33条的规定，其尊重国际条约和协定的规定，且在主管机关批准的情形下允许境外执法机构调取我国境内数据。个人信息保护法对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者进行了数据本地化的规定。但是该规定也不是绝对的，如有确需向境外提供的例外情形，通过网信部门的安全评估之后也可以向境外提供。因此，我国有关数据本地化的国内立法体现出了与国际规则的协调性。在国内法的研究中，，我国也已有学者以个人信息为起点，提出个人信息具有公共性和社会性，这为数据主权的建立提供了一定的正当性基础，我国可以个人信息的社会控制论为基点进行国内数据法律制度设计，对于数据本地化的问题进行更加具有可预见性的规定。

坚持公平互利，适当考虑发展中国家利益

WTO对于发展中国家的“特殊与差别待遇”条款以及我国参与缔结的RCEP都对于发展中国家利益进行尊重和保护，充分体现了公平互利原则。我国应当落实WTO已有条约以及RCEP对于数据本地化规制的相关规定，在数据流动领域追求实质上的平等与互惠。在数据本地化的规制方面，我国可以与其他发展中国家互相降低数字领域市场准入条件，在数据的存储和处理方面为彼此提供更多的贸易机会；另外，可以对数字基础设施建设不完备的发展中国家提供技术援助，为建立更为安全、效率的数字流动提供技术保障；最后，针对最不发达国家，可以在数据领域向其提供更为优惠的待遇，允许其在合乎国际法的前提下实行一定限度的数据本地化政策，以推动该国数字基础设施的建设和数字贸易的发展，为参与国际数字贸易竞争与发展打下良好的物质基础。

寻求合作发展，推动国际经济新秩序建立

合作发展原则不仅鼓励各国进行南南层面的合作，也鼓励进行南北层面的合作。我国应在RCEP框架下可以其对于发展中国家的保护，并尊重其他缔约国的利益。随着数字经济发展，我国也可考虑适时加入CPTPP，寻求更大范围的贸易合作。落实到数据本地化规制的层面，我国也可以注重数字经济的长期发展，对于发达国家提出的方案进行长远考量。可以对于发达国家在数字领域进行的较为细致的规范加以参考，寻找符合我国法律与国情的数据本地化规制方案。